Fahmida+Y.+Rashid

編譯 Charles

某一天，由于基于云系統(tǒng)的配置不完善，又出現(xiàn)了一起數(shù)據(jù)泄露事件。在最近的一次事件中，Verizon的600多萬名美國客戶信息被泄露，這再次提醒我們，云供應(yīng)商和企業(yè)應(yīng)同時擔(dān)負起云安全的責(zé)任。

有一種誤解，認為是由云服務(wù)供應(yīng)商負責(zé)云環(huán)境的安全，但這只是故事的一半。亞馬遜、微軟和谷歌等云安全供應(yīng)商，負責(zé)其物理數(shù)據(jù)中心以及運行虛擬機的服務(wù)器硬件的安全，而讓每個客戶自己保護好虛擬機和應(yīng)用程序。云供應(yīng)商提供了一系列安全服務(wù)和工具來保證客戶工作負載的安全，而實際由管理員去實施必要的防護措施。如果客戶不能保護他們自己的網(wǎng)絡(luò)、用戶和應(yīng)用程序，云供應(yīng)商提供再多的安全防御措施也沒什么用。

一家第三方服務(wù)供應(yīng)商處理Verizon的后臺和呼叫中心業(yè)務(wù)，在亞馬遜網(wǎng)絡(luò)服務(wù)（AWS）簡單存儲服務(wù)（S3）的數(shù)據(jù)存儲桶中存儲過去六個月內(nèi)致電過呼叫中心的所有客戶的呼叫數(shù)據(jù)，包括每一名Verizon客戶的姓名、地址、電話號碼，以及賬號PIN碼等。采集數(shù)據(jù)是為了幫助改進客戶服務(wù)體驗，但由于S3存儲桶配置不正確，而允許外部訪問，任何人只要有足夠耐心弄清楚網(wǎng)絡(luò)地址，就能夠下載信息。拿到數(shù)據(jù)的騙子們假裝成Verizon客戶打電話，從而訪問客戶帳戶。

這類錯誤太常見了。云安全公司RedLock的云基礎(chǔ)設(shè)施安全研究小組最近的研究發(fā)現(xiàn)，40%的企業(yè)由于配置錯誤，不經(jīng)意間已經(jīng)至少暴露了一項公有云服務(wù)。

錯誤配置是嚴(yán)重的問題

Verizon只是由于配置錯誤而導(dǎo)致數(shù)據(jù)被暴露在公有云中的眾多企業(yè)中的一家。就在幾星期前，由于美國職業(yè)摔跤（WWE）協(xié)會把未加密數(shù)據(jù)庫放在了AWS的S3存儲桶中，而且沒有進行訪問控制和密碼保護，導(dǎo)致3百多萬摔跤愛好者的個人數(shù)據(jù)被泄露。六月，共和黨全國委員會證實，1億9千8百萬注冊美國選民的個人身份信息——大約占選民的60%，以明文方式被存儲在數(shù)據(jù)分析公司Deep Root Analytics擁有的開放Amazon S3存儲服務(wù)器中。由于把文件存儲在S3存儲桶中，國防承包商Booz Allen Hamilton屬于五角大樓的6萬份文件被暴露，包括與美國軍事項目有關(guān)的敏感文件，6份未加密的安全證書。

云安全創(chuàng)業(yè)公司RedLock首席執(zhí)行官和聯(lián)合創(chuàng)始人Varun Badhwar說：“問題不在于云是不安全的，而在于最終是由顧客負責(zé)安全地配置他們的網(wǎng)絡(luò)、應(yīng)用程序和數(shù)據(jù)。如果采用這種服務(wù)的企業(yè)能夠正確的進行配置，AWS等公有云基礎(chǔ)設(shè)施是非常安全的。”

云安全公司Threat Stack分析了使用AWS的200家公司，發(fā)現(xiàn)73%的公司至少有一個關(guān)鍵的安全配置錯誤，例如，讓未經(jīng)授權(quán)的用戶直接訪問數(shù)據(jù)，錯誤配置的對象成為大規(guī)模攻擊的一部分，通過登錄AWS控制臺來控制整個環(huán)境。這些泄露事件是由于基本的安全疏忽和未制定IT政策而造成的，而不是惡意對手主動攻擊造成的。

不論是誰在做配置——是IT管理員、開發(fā)人員、工程師還是安全部門，有太多的人并沒有完全理解怎樣配置他們的云環(huán)境。企業(yè)再也不能把公有云視為存儲信息的一種老方法，而應(yīng)該采用以下安全措施，以確保未經(jīng)授權(quán)的用戶不能訪問其云環(huán)境、應(yīng)用程序和數(shù)據(jù)。

1.知道您要負責(zé)什么

所有云服務(wù)并不一樣，要負起的責(zé)任也各不相同。軟件即服務(wù)（SaaS）供應(yīng)商會確保他們的應(yīng)用程序受到保護，數(shù)據(jù)被安全地傳輸和存儲，而云基礎(chǔ)設(shè)施通常不是這種情形。例如，企業(yè)應(yīng)完全負責(zé)其AWS彈性計算云（EC2）、亞馬遜EBS和亞馬遜虛擬私有云（VPC）的應(yīng)用，包括配置操作系統(tǒng)、管理應(yīng)用程序、保護數(shù)據(jù)等。

相反，亞馬遜維護簡單存儲服務(wù)（S3）的操作系統(tǒng)和應(yīng)用程序，而企業(yè)負責(zé)管理數(shù)據(jù)、訪問控制和身份識別策略。亞馬遜提供了為S3數(shù)據(jù)加密的工具，但這取決于企業(yè)在進入和離開服務(wù)器時是否啟用了保護功能。應(yīng)與供應(yīng)商核實誰負責(zé)每一項云安全控制功能。

2.控制誰有權(quán)訪問

RedLock的CSI發(fā)現(xiàn)公有云有31%的數(shù)據(jù)庫是開放給互聯(lián)網(wǎng)的。事實上，公有云環(huán)境中93%的資源對出站流量根本沒有進行限制。9%的云工作負載既沒有負載均衡器也沒有受到防護主機的保護，能接受來自任何端口任何IP地址的數(shù)據(jù)流，這是非?？膳碌摹Ｖ挥胸撦d均衡器和防護主機能夠直接出現(xiàn)在互聯(lián)網(wǎng)上。

正是因為S3存儲桶被設(shè)置為允許外部訪問才導(dǎo)致Verizon數(shù)據(jù)被泄露。遺憾的是這類錯誤太常見了。Threat Stack公司在其研究中發(fā)現(xiàn)，37%的企業(yè)的S3存儲桶允許所有人訪問。很多管理員在公共子網(wǎng)中使用0.0.0.0/0，錯誤地啟用了服務(wù)器的全局權(quán)限。連接完全放開了，每臺計算機都能夠進行連接。

對于AWS的情況，S3存儲桶絕不應(yīng)該有公共訪問策略。

在Threat Stack的分析中，另一常見的錯誤是打開SSH，73%的企業(yè)都這樣做了。Threat Stack公司還發(fā)現(xiàn)，13%的企業(yè)允許從互聯(lián)網(wǎng)直接連接SSH，這意味著任何能找到服務(wù)器地址的人都可以繞過防火墻，直接訪問數(shù)據(jù)。

主要云供應(yīng)商都會提供身份識別和訪問控制工具；請使用它們。應(yīng)知道誰在何時訪問了哪些數(shù)據(jù)。在創(chuàng)建身份識別和訪問控制策略時，把最高權(quán)限限制在最小范圍內(nèi)，只在需要時臨時授予額外權(quán)限。盡可能把安全組配置為最窄安全焦點，并在可能的情況下使用參考安全組ID。

亞馬遜VPC允許管理員在AWS云中創(chuàng)建一個邏輯隔離的網(wǎng)絡(luò)，以便在虛擬網(wǎng)絡(luò)中啟動服務(wù)器。這是保護產(chǎn)品環(huán)境不受開發(fā)和發(fā)布環(huán)境影響并保持?jǐn)?shù)據(jù)隔離的一種方法。

3.保護數(shù)據(jù)

另一常見的錯誤是數(shù)據(jù)沒有經(jīng)過加密便放在了云上。RedLock的CSI發(fā)現(xiàn)，公有云中82%的數(shù)據(jù)庫是不加密的。選民信息和敏感的五角大樓文件之所以被泄露，是因為數(shù)據(jù)沒有加密，未經(jīng)授權(quán)方能夠訪問服務(wù)器。把敏感數(shù)據(jù)存儲在云中而沒有對服務(wù)器的訪問進行適當(dāng)控制以保護數(shù)據(jù)，這樣做是不負責(zé)任的，也是危險的。endprint

盡可能控制好加密密鑰。雖然可以讓云服務(wù)供應(yīng)商訪問密鑰，但底線是保護數(shù)據(jù)的責(zé)任在于企業(yè)。

WinMagic首席運營官Mark Hickman說：“這就類似于相信您的家庭裝修人員，把家里的鑰匙交給了他。您希望一切都沒問題，但您永遠都不能100%確定他們會鎖上門，也無法確定他們的分包商會干些什么。那么，為什么還要冒險讓他們一開始就能拿到您的鑰匙呢？”

即使云供應(yīng)商提供了加密工具和管理服務(wù)，很多企業(yè)實際并沒有使用。加密是一種安全保障措施——即使安全配置失敗，數(shù)據(jù)落入未授權(quán)方的手中，他們也不能使用數(shù)據(jù)。

4.保護證書

如OneLogin泄露事件所展示的，AWS訪問密鑰被泄露的情況并不少見。這些密鑰會出現(xiàn)在公共網(wǎng)站、源代碼庫、未受保護的Kubernetes儀表板，以及其他一些論壇上。要把AWS訪問密鑰視為最敏感的寶貴資產(chǎn)，教育開發(fā)人員避免在公共論壇中泄露此類密鑰。

為每一個外部服務(wù)創(chuàng)建唯一的密鑰，并遵循最小特權(quán)原則限制對其訪問。應(yīng)限制密鑰的訪問權(quán)限，如果錯誤的落在別人手中，它們會被用于訪問敏感的資源和數(shù)據(jù)。創(chuàng)建IAM角色來分配特殊特權(quán)，例如進行API調(diào)用。

一定要定期換密鑰。RedLock發(fā)現(xiàn)63%的訪問密鑰超過90天都沒有被換掉。這使得攻擊者有時間截獲密鑰，作為特權(quán)用戶滲透到云環(huán)境中。

不要使用root用戶帳戶，即使是要用于管理任務(wù)?？梢允褂胷oot用戶來創(chuàng)建具有指定權(quán)限的新用戶。鎖定root帳戶（可以通過添加多重身份驗證來實現(xiàn)），僅用于非常具體的帳戶和服務(wù)管理任務(wù)。對于其他的，為用戶提供適當(dāng)?shù)臋?quán)限。

檢查用戶帳戶，查找那些未被使用的賬戶，并禁用它們。如果沒有人使用這些賬戶，何必給攻擊者留下攻擊的后門呢。

5.保證環(huán)境安全仍然很重要

對于云環(huán)境防護，深度防御尤其重要，因為即使一項控制功能失敗，也會有其他安全功能保持應(yīng)用程序、網(wǎng)絡(luò)和數(shù)據(jù)的安全。

多重身份認證（MFA）功能在用戶名和密碼之上提供了額外的保護層，使攻擊者更難入侵。應(yīng)啟用MFA，限制對管理控制臺、儀表板和特權(quán)帳戶的訪問。Redlock發(fā)現(xiàn)，58%的root賬戶沒有啟用多重身份認證功能。Threat Stack發(fā)現(xiàn)，62%的企業(yè)至少有一個AWS用戶沒有啟用多重身份認證功能。

6.增強可視化

主要云供應(yīng)商都提供某種級別的日志記錄工具，因此一定要啟用安全日志記錄和監(jiān)視功能，看看是否有未經(jīng)授權(quán)的訪問和其他問題。亞馬遜為審查AWS環(huán)境提供了CloudTrail，但很多企業(yè)最終并沒有使用該服務(wù)。當(dāng)啟用后，CloudTrail會記錄所有AWS API調(diào)用的歷史，包括API調(diào)用者的身份、調(diào)用的時間、調(diào)用者的源IP地址、請求參數(shù)，以及AWS服務(wù)返回的響應(yīng)數(shù)據(jù)。它還可以用于變更跟蹤、資源管理、安全性分析和合規(guī)審查等。

不要讓錯誤導(dǎo)致出現(xiàn)泄露

數(shù)據(jù)泄露并不總是由外部攻擊者造成的，敏感數(shù)據(jù)也可能是由人為錯誤而被泄露的。忘記啟用某項功能，或者認為某件事情已經(jīng)完成了，但卻不去檢驗一下，這些人為錯誤都會給攻擊者敞開大門。企業(yè)應(yīng)定期評估其云環(huán)境及其供應(yīng)商和合作伙伴的安全性。正如Verizon泄露事件所示，第三方供應(yīng)商犯下的錯誤成為企業(yè)頭痛的問題。

共享安全模型的存在是有原因的——不管誰負責(zé)云工作負載的安全性，企業(yè)最終要對數(shù)據(jù)的一切負責(zé)。

Fahmida Y. Rashid是CSO的資深作家，其寫作主題是信息安全。

原文網(wǎng)址：

http：//www.csoonline.com/article/3208905/cloud-security/top-cloud-security-controls-you-should-be-using.htmlendprint